RIESGO OPERACIONAL UN CASO APLICADO EN EL MERCADO DE VALORES Expositor:
Carlos Adolfo Guzmán Toro
Cargo:
Gerente Técnico del Autorregulador del Mercado de Valores
Email:
[email protected]
08 de Septiembre de 2010
www.amvcolombia.org.co
CONTENIDO
1. NORMATIVIDAD SARO DE LOS INTERMEDIARIOS DE VALORES 2. CONTEXTO SARO DE LOS INTERMEDIARIOS DE VALORES 3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV
1. NORMATIVIDAD SARO DE LOS INTERMEDIARIOS DE VALORES
1. NORMATIVIDAD SARO DE LOS INTERMEDIARIOS DE VALORES CIRCULAR 100 DE 1995 DE LA SFC - CAPITULO 23 REGLAS APLICABLES A LA ADMINISTRACIÓN DEL RIESGO OPERATIVO Todas las entidades sometidas a la inspección y vigilancia de la SFC, deben adoptar un Sistema de Administración de Riesgo Operativo (SARO), con excepción de las oficinas de representación de instituciones financieras y reaseguradoras del exterior. Por tal razón, dichas entidades deben desarrollar, establecer, implementar y mantener un Sistema de Administración de Riesgo Operativo (SARO), acorde con su estructura, tamaño, objeto social y actividades de apoyo, estas últimas realizadas directamente o a través de terceros, que les permita identificar, medir, controlar y monitorear eficazmente este riesgo.
1. NORMATIVIDAD SARO DE LOS INTERMEDIARIOS DE VALORES SARO
Ámbito Aplicación
Definiciones
Factores Riesgo
Eventos de Pérdida
Etapas de Administración
Identificación
Elementos
Políticas Procedimientos
Internos
Externos
ESTRUCTURA DEL SISTEMA ADMINISTRACIÓN DE RIESGO OPERACIONAL (SARO)
Medición
Control (Plan Continuidad Negocio)
Monitoreo
Documentación (Manual de RO) Estructura Organizacional Registro de Eventos Órganos Control Plataforma Tecnológica Divulgación Información (Interna, Externa y Contable) Capacitación
2. CONTEXTO SARO DE LOS INTERMEDIARIOS DE VALORES
2. CONTEXTO SARO DE LOS INTERMEDIARIOS DE VALORES Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.
Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.
Riesgo Operacional Riesgo Legal
Riesgo Reputacional
Se entiende por Riesgo Operativo, la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores.
Definiciones
2. CONTEXTO SARO DE LOS INTERMEDIARIOS DE VALORES Factores de Riesgo
Clasificación de los Riesgos Operativos
Se entiende por factores de riesgo las fuentes generadoras de riesgos operativos que pueden o no generar pérdidas
Los riesgos operativos se clasifican de la siguiente manera:
Son factores de riesgo, entre otros, los siguientes: 1. 2. 3. 4. 5.
Recurso humano Los procesos La tecnología La infraestructura Acontecimientos externos
1. 2. 3. 4. 5. 6. 7.
Fraude Interno Fraude Externo Relaciones Laborales Clientes Daños Activos Físicos Fallas Tecnológicas Ejecución y Administración de Procesos
2. CONTEXTO SARO DE LOS INTERMEDIARIOS DE VALORES
Riesgo Inherente
Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.
Aplicación de Controles
Controles existentes a través de los cuales se mitiga el riesgo operacional.
Riesgo Residual
Nivel resultante del riesgo después de aplicar los controles.
Cuando el riesgo residual no es lo suficientemente pequeño se establecen planes de mejora.
2. CONTEXTO SARO DE LOS INTERMEDIARIOS DE VALORES Etapas del Sistema de Administración del Riesgo Operativo (SARO) Las entidades deben hacer un monitoreo periódico del perfil de riesgo y de la exposición a pérdidas.
Las entidades deben tomar medidas para controlar los riesgos inherentes a que se ven expuestas con el fin de disminuir la probabilidad de ocurrencia y/o el impacto en caso de que se materialicen.
4. Monitoreo
3. Control
1. Identificación
2. Medición
En desarrollo del SARO las entidades deben identificar los riesgos operativos a que se ven expuestas, teniendo en cuenta los factores de riesgo definidos. Una vez concluida la etapa de identificación, las entidades deben medir la probabilidad de ocurrencia de los riesgos operativos y su impacto en caso de materializarse.
2. CONTEXTO SARO DE LOS INTERMEDIARIOS DE VALORES Ciclo del Sistema de Administración del Riesgo Operativo
Riesgos Inherentes Identificados y Valorados
Valoración de Riesgos Residuales
Aplicación de Controles Existentes
Cuando sea necesario se establecen Planes de Mejora
4. Monitoreo
1. Identificación
3. Control
2. Medición
Proceso Constante
2. CONTEXTO SARO DE LOS INTERMEDIARIOS DE VALORES Elementos del Sistema de Administración del Riesgo Operativo 1. Políticas •Cultura en materia de riesgo operativo. •Establecer el deber de los órganos de administración. •Desarrollar e implementar planes de continuidad del negocio. •Permitir la identificación de los cambios en los controles y en el perfil de riesgo.
2. Procedimientos •Instrumentar las diferentes etapas y elementos del SARO. •Identificar los cambios y la evolución de los controles, así como del perfil de riesgo. •Adoptar las medidas por el incumplimiento del SARO.
3. Documentación •Manual de Riesgo Operativo. •Los documentos y registros que evidencien la operación efectiva del SARO. •Los informes de la Junta Directiva, el Representante Legal y los órganos de control.
2. CONTEXTO SARO DE LOS INTERMEDIARIOS DE VALORES Elementos del Sistema de Administración del Riesgo Operativo 4. Estructura Organizacional
Junta Directiva Representante Legal
Unidad de Riesgo Operativo
2. CONTEXTO SARO DE LOS INTERMEDIARIOS DE VALORES Elementos del Sistema de Administración del Riesgo Operativo
5. Registro de Eventos • Características mínimas del registro de eventos de riesgo operativo. • Revelación contable.
6. Órganos de Control
Revisoría Fiscal Auditoría Interna
2. CONTEXTO SARO DE LOS INTERMEDIARIOS DE VALORES Elementos del Sistema de Administración del Riesgo Operativo 7. Plataforma Tecnológica •Las entidades, de acuerdo con sus actividades y tamaño, deben contar con la tecnología y los sistemas necesarios para garantizar el adecuado funcionamiento del SARO.
8. Divulgación •Interna: Como resultado del monitoreo deben elaborarse reportes semestrales que permitan establecer, el perfil de riesgo residual de la entidad. •Externa: En los estados de resultados mensuales.
9. Capacitación •Las entidades deben diseñar, programar y coordinar planes de capacitación sobre el SARO dirigidos a todas las áreas y funcionarios.
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV
1. Contrato Comisión
ACTIVIDADES DE INTERMEDIACIÓN EN EL MERCADO DE VALORES
6. Asesoría
2. Corretaje
AMV 5. Administración Recursos De Terceros
3. Cuenta Propia
4. Colocación Valores
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV INTERMEDIARIOS DE VALORES (IMV)
TOTAL: 119
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV EVOLUCIÓN DEL SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO EN AMV
• Norma Australiana Neozelandesa
2006
2007 • SARO
• Adecuaciones SCI
2009
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV Norma Australiana Neozelandesa
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV 1. IDENTIFICACIÓN DE LOS RIESGOS EN TODOS LOS PROCESOS DE AMV
CONTROL DE GESTIÓN Y MEJORA
DIRECCIONAMIENTO ESTRATÉGICO
Requisitos
REGULACIÓN
Proceso de Mejora
SUPERVISIÓN
DISCIPLINA
CERTIFICACIÓN
Productos o servicios
Procesos Operativos
GESTIÓN FINANCIERA
GESTIÓN ADMINISTRATIVA
ANÁLISIS DE MERCADOS Y GESTIÓN DE RIESGOS
GESTIÓN LEGAL
GESTIÓN TECNOLÓGICA
Procesos de Apoyo
COMUNICACIONES
SIPLA
CLIENTES
CLIENTES
Proceso de Dirección
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV 2. VALORACIÓN INHERENTE DE LOS RIESGOS IDENTIFICADOS
Probabilidad de Ocurrencia
Valoración Inherente del Riesgo
Magnitud del Impacto
Probabilidad de Ocurrencia Improbable
Poco Probable Probable Muy Frecuente
Cada categoría cuenta con una definición cualitativa.
4
11 19 33
Para poder cuantificar o medir estas definiciones era necesario asignar un factor relativo a cada una de ellas.
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV 2. VALORACIÓN INHERENTE DE LOS RIESGOS IDENTIFICADOS
Probabilidad de Ocurrencia
Valoración Inherente del Riesgo
Magnitud del Impacto
Magnitud el Impacto Menor
Moderado Mayor Catastrófico
Cada categoría cuenta con una definición cualitativa.
6
14 24 41
Para poder cuantificar o medir estas definiciones era necesario asignar un factor relativo a cada una de ellas.
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV 2. VALORACIÓN INHERENTE DE LOS RIESGOS IDENTIFICADOS
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV 3. IDENTIFICACIÓN Y VALORACIÓN DE LOS CONTROLES EXISTENTES
Los controles existentes, con los cuales se mitiga el riesgo, son valorados y a cada uno se le asigna un nivel de efectividad.
Control 2 Control 1
Control 3 Riesgo Inherente
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV 3. IDENTIFICACIÓN Y VALORACIÓN DE LOS CONTROLES EXISTENTES
% Evaluación Primaria
% Evaluación Secundaria
* 50%
* 50%
APLICACIÓN EN LOS MAPAS DE RIESGOS DE AMV PARA CALCULAR EL RIESGO RESIDUAL
% Efectividad Final del Control
DESDE
HASTA
CATEGORIA DE EFECTIVIDAD DEL CONTROL
0%
30%
BAJA
31%
60%
MEDIA BAJA
61%
90%
MEDIA ALTA
91%
100%
ALTA
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV 3. IDENTIFICACIÓN Y VALORACIÓN DE LOS CONTROLES EXISTENTES METODOLOGÍA CUANTITATIVA ATRIBUTO 1. TIPOLOGIA DEL CONTROL
PESO EN EL MODELO
DESCRIPCIÓN DEL ATRIBUTO
16%
IDENTIFICA SI EL CONTROL TIENE UN FUNCIÓN DETECTIVA O PREVENTIVA
2. RAZON DEL CICLO DEL CONTROL
16%
COMPARA LA PERIODICIDAD DE TIEMPO EN LA QUE SE REALIZA LA RESPECTIVA TAREA CON LA PERIODICIDAD DE TIEMPO DE EJECUCIÓN DEL CONTROL
3. GRADO DE AUTOMATIZACIÓN DEL CONTROL
16%
IDENTIFICA SI EL CONTROL SE EJECUTA DE FORMA MANUAL, AUTOMATICA O SEMIAUTOMATICA
4. FILTROS DE SEGUIMIENTO AL CONTROL
16%
IDENTIFICA EL NÚMERO DE CONTROLES INTERNOS AL PROCESO O EXTERNOS AL MISMO, CON LOS QUE CUENTA EL CONTROL EN SU EJECUCIÓN
16%
IDENTIFICA SI EL CONTROL MITIGA LA PROBABILIDAD DE QUE EL EVENTO OCURRA, LA MAGNITUD DE IMPACTO CUANDO EL EVENTO OCURRE O AMBAS
6. HISTORIAL DE EVENTOS REGISTRADOS
16%
IDENTIFICA EL NÚMERO DE EVENTOS MATERIALIZADOS EN EL ÚLTIMO AÑO. TIENE EN CUENTA LA BASE DE DATOS DE REGISTROS HISTORICOS POR PROCESO EN EL SGI Y LOS REPORTADOS POR LA AUDITORIA INTERNA DE AMV
7. EVIDENCIA DE LA EVALUACIÓN DEL CONTROL
4%
IDENTIFICA SI EXISTE O NÓ SUFICIENTE INFORMACIÓN SOBRE LA EXISTENCIA Y EJECUCIÓN DEL CONTROL
5. TIPO DE MITIGACIÓN DEL CONTROL
100%
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV 4. VALORACIÓN RESIDUAL DE LOS RIESGOS IDENTIFICADOS
Riesgo Inherente
Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.
Efectividad Controles
Controles existentes a través de los cuales se mitiga el riesgo operacional.
Riesgo Residual
Nivel resultante del riesgo después de aplicar los controles.
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV 4. VALORACIÓN RESIDUAL DE LOS RIESGOS IDENTIFICADOS
Riesgo Inherente
Riesgo Residual
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV 5. ESTABLECIMIENTO DE PLANES DE MEJORA Cuando el riesgo residual continua siendo alto, es necesario establecer planes de mejora en busca de:
Riesgo Inherente Riesgo Residual
1. Crear nuevos controles 2. Mejorar los existentes
Riesgo Inherente
Riesgo Residual
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV 5. ESTABLECIMIENTO DE PLANES DE MEJORA
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV 6. HERRAMIENTA TECNOLOGÍCA
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV 7. ESTRUCTURA ORGANIZACIONAL
Revisoría Fiscal
Auditoría Interna
Consejo Directivo Comité F&A Presidente Gerencia Técnica
3. EXPERIENCIAS EN LA IMPLEMENTACIÓN DEL SARO EN AMV 8. POLITICAS GENERALES Revisión integral del ciclo SARO semestralmente Política de registro de eventos inmediata o a más tardar al día siguiente a la fecha de materialización del evento Boletines SARO semestralmente Política de capacitación interna
Política de revelación contable de eventos que generan pérdida económica Política de implementación y cumplimiento de planes de mejora semestral (esquema de compensación variable) Informe trimestral de eventos materializados y nivel de implementación de planes de mejora
La opinión expuesta en esta presentación no compromete a la entidad. Para uso restringido del Autorregulador del Mercado de Valores. Todos los derechos reservados. Ninguna parte de esta presentación puede ser reproducida o utilizada en ninguna forma o por ningún medio sin permiso explicito del Autorregulador del Mercado de Valores.
www.amvcolombia.org.co